Office 365で多要素認証(MFA)ってできる？

活用方法

2019年08月01日（木）

Office 365伝道師五味ちゃんこんにちは、Office 365相談センターの五味です。

最近、某コンビニチェーンのコード決済アプリのずさんなセキュリティ問題が話題になりましたよね。この問題に関する報道を通じて「多要素認証」や「2段階認証」といった言葉を耳にした方も多いはず。
実は、こうした"認証"の仕組みは決済アプリだけではなく、様々なサービスで搭載されています。

もちろん、Office 365にも。

そこで今回は、Office 365における多要素認証について、ご紹介します。あまり詳しくないという方にも分かりやすく解説します！

そもそも、「多要素認証」とは？

「多要素認証」を理解する前に知りたい "認証" の方法とは

「多要素認証」(Multi-Factor Authentication、通称"MFA"とも言いますね)を理解する前に、まずどうやってシステム側が今ログインしようとしている人物をユーザー本人であるか判断するのか、その手段を説明しましょう。認証するには、下記の3つのどれかを利用して行っています。（業界ではこれらを"認証の3要素"と呼称するみたいです）

知識情報（Something You Know, "SYK"）
主に暗証番号やパスワード、ワンタイムパスワード、秘密のの質問など、本人でしか知らない情報がこれにが当てはまります。簡単に設定できて最も手軽ですが、パスワードを他人に知られた時点で認証の要素として成り立たなくなる他、本人の記憶による情報でもあるので、忘れたら再発行手続きが必要というのが欠点でもあります。
所持情報（Something You Have, "SYH"）
本人しか所持していない情報やモノを指します。例えば免許証情報やICカード、携帯電話などですね。登録してある携帯電話のSMSに番号が届くようなセキュリティトークンもこれにあたります。これらは盗まれたり紛失してしまったりすると認証の要素として成り立たなくなってしまうという欠点があります。
生体情報（Something You Are, "SYA"）
顔認証や静脈、虹彩、声紋の認証といった、本人の生体情報を元に認証する方法です。知識情報や所持情報と異なり盗むことは難しいものの、誤認識される可能性がある点や万が一漏洩した場合に安全性を回復することが著しく難しい（生体情報は不変のため）という欠点もあります。

多要素認証と多段階認証、正確にはちょっと違う

多要素認証

上記のように、認証の3要素はそれぞれメリット／デメリットがあるので、異なる要素の認証を複数組み合わせた認証のことを多要素認証と言います。
例えばID/パスワード(知識情報)と顔認証(生体情報)でログインさせるような仕組みをとっていたら、それは多要素認証を利用しているということですね。

多段階認証

これに対して多段階認証とは、文字通り（同じ方法であれ、異なる方法であれ）認証を複数回に分けて行うことを指します。多要素認証で2回に分けて認証していればこれも多段階認証(2段階認証)と言えます。

認証についての知識は深まりましたか？
それでは、いよいよOffice 365における多要素認証についてお話しましょう。

Office 365における多要素認証

Office 365にも、ユーザーのサインインを二段階で、複数の要素を利用して認証する機能があります。これを活用できれば、Office 365をもっとセキュアに利用できちゃいます。

Office 365の認証の要素

Office 365で多要素認証を設定すると、ユーザーがOffice 365にサインインするとき、まずID/Passwordを入力します。その後に下記のような認証方法を利用して二段階目の認証（第2認証要素）を行います。

モバイルアプリ (オンラインおよびワンタイムパスワード [OTP])
電話
ショートメッセージサービス（SMS）
webブラウザ以外のクライアント（Outlookなど）のアプリケーションパスワード
電話認証時の既定の案内応答

『毎回2段階認証は正直面倒くさい...』

毎回2段階認証を求められるのは、ユーザーとしてはちょっと鬱陶しい...正直そんな風に思うユーザーも多いんじゃないでしょうか？
まぁ正直、私は面倒くさいと思っちゃうタイプですね...。
実は、一度認証を成功させたらしばらく認証を記憶させておくような使い方もできるんですよ。これなら、管理者もユーザーもハッピー！...になれるかも？

便利な多要素認証の使い方

下記の設定をしておくと、それぞれ指定された期間は、一度認証を行うと、信頼済みデバイスからのアクセスとして一段階の認証、もしくは通常通りの利用ができます。

信頼済みのデバイスに対して多要素認証を記憶（猶予日数：最大60日）
スマホ用の認証用アプリ（Microsoft Authenticator）
PC用のOfficeアプリケーションにはアプリケーションパスワード

どのプランで多要素認証は利用できる？

実は、Office 365で多要素認証を使いたいという場合に、特別になにか追加でプランをご契約頂く必要はありません。Office 365の多要素認証はどのプランを契約しても標準機能で提供されます。

但し、Office 365の多要素認証機能を「より高度に管理したい」という場合には、Azure AD Premium Plan 1以上のライセンスが追加で必要になります。

まとめ

多要素認証について、理解は深められましたか？
このクラウドの時代、不正アクセスにビクビクせず安心してサービスを利用したいですよね。そんなときにはぜひ、多要素認証、試してみてくださいね。

今回の五味ちゃんワンポイントまとめ

多要素認証とは：認証の3要素（知識情報／所持情報／生体情報）を複数組み合わせた認証のこと
Office 365での多要素認証は：ユーザーのサインインを二段階で、複数の要素を利用して認証する。
第二認証要素として用意されているのは、モバイルアプリ、電話、SMS、webブラウザ以外のクライアントのアプリケーションパスワード
Office 365の多要素認証はどのプランを契約しても標準機能で提供されている
一度認証を成功させたらしばらく認証を記憶させておくような使い方もできる

この他、法人でのOffice 365導入時（導入前）のご相談は、Office 365相談センターまでお気軽にお問い合わせください。
※導入後のお問い合わせは、販売店さま、もしくは購入後の問い合わせ窓口までお願いいたします。
Office 365の専任スタッフが皆さまからのお問い合わせやご相談に丁寧に回答いたします。

それではまた、次回のブログでお会いいたしましょう！